Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Rz. 268 Die DSGVO wirkt ab dem 25.5.2018 unmittelbar und vorrangig in allen EU-Mitgliedsstaaten. Daneben gibt es jedoch auch weiterhin das Bundesdatenschutzgesetz (BDSG), das neu gefasst wurde und zum gleichen Zeitpunkt in Kraft tritt. Im BDSG-neu wurden dabei einige Spielräume genutzt, die sich aus der Öffnungsklausel des DSGVO ergeben. Die DSGVO sieht bei einem Verstoß gege...mehr

Rz. 276 Mit allen externen Dienstleistern (IT-Firma, Lohnbüro) müssen entsprechende Verträge zur Einhaltung der Datensicherheit abgeschlossen werden. Mandanten und Besucher der Website müssen über den Datenschutz informiert werden. Entsprechende Hinweise zu den Datenschutzbestimmungen müssen auf der Kanzlei-Website überarbeitet werden und die Mandanten sollten bei Mandatsbegi...mehr

Rz. 277 Durch die DSGVO haben die Mandanten folgende Rechte:mehr

Rz. 272 Sind in einer Kanzlei mehr als zehn Personen mit der Datenverarbeitung beschäftigt, so ist zwingend ein betrieblicher Datenschutzbeauftragter nach Art. 37 Abs. 4 DSGVO i.V.m. § 38 BDSG-neu zu bestellen. Hierbei ist zu beachten, dass es auf die Kopfzahl der Personen ankommt und sowohl die Kanzleiinhaber als auch die Angestellten und freien Mitarbeiter "als eine Person...mehr

Rz. 270 Für die Daten von Mandanten, Lieferanten und Mitarbeitern gilt jedoch der Grundsatz, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten ist, es sei dennmehr

Rz. 273 Gem. Art. 30 DSGVO muss ein Verzeichnis über alle Datenverarbeitungen der Kanzlei erstellt werden, hierzu gehören insbesondere Das Verzeichnis muss schriftlich oder elekt...mehr

Die Eingehung von mehreren Arbeits- oder Beschäftigungsverhältnissen ist als Ausdruck der Berufsfreiheit und des allgemeinen Persönlichkeitsrechts grundsätzlich zulässig. Dementsprechende Verbotsklauseln (z. B.: "Die Übernahme von Nebenbeschäftigungen in anderen wirtschaftlichen Unternehmungen sind nicht erlaubt.") sind unwirksam.[1] Handelt es sich dagegen um einen nebentät...mehr

Sachverhalt Zum 31.12. soll das Archiv mit den alten Unterlagen der Entgeltabrechnung geräumt werden. Welche Unterlagen sind 6, 8 bzw. 10 Jahre aufzubewahren? Ergebnis Lohnkonten sowie alle mit der Abrechnung relevanten Belege und Bescheinigungen sind 6 Jahre lang aufzubewahren. Unterlagen, die für den Jahresabschluss relevant sind, müssen 10 Jahre lang aufbewahrt werden. Buch...mehr

mehr

Video: Datenschutz bei Homeoffice und Mobile Work Der Datenschutz im Homeoffice unterliegt denselben Anforderungen wie am innerbetrieblichen Arbeitsplatz und bei den innerbetrieblichen Abläufen. Im Rahmen des Homeoffice sind die öffentlich-rechtlichen Datenschutzvorschriften[1] zu beachten. Die Datenschutzvorschriften sind immer dann zu beachten, wenn personenbezogene Daten in...mehr

Die Abgabenordnung sieht kein allgemeines Akteneinsichtsrecht des Steuerpflichtigen vor. Seit dem Inkrafttreten der DSGVO besteht für alle Steuerpflichtigen grundsätzlich ein Anspruch auf Akteneinsicht bei der Finanzbehörde.[1] So besteht ein Anspruch darauf, dass das für die Betriebsprüfung zuständige Finanzamt eine Kopie der personenbezogenen Daten, die bei einer früheren B...mehr

Der Arbeitgeber hat an seinen Arbeitnehmer Schadensersatz ebenfalls nach den allgemeinen Regeln der §§ 249 ff. BGB zu leisten. Vorrangig ist Naturalrestitution zu leisten.[1] Ist dies nicht möglich, ist eine Entschädigung in Geld nach der Differenzhypothese zu leisten.[2] Die möglichen Anspruchsinhalte sind vielfältig. Kein deliktischer Anspruch besteht im Hinblick auf ein "...mehr

Rz. 1 § 139a AO enthält die Verpflichtung, jedem Stpfl. zu dessen eindeutiger Identifizierung im Besteuerungsverfahren ein lebenslanges und unveränderliches Merkmal zuzuordnen. Bei natürlichen Personen ist dies – unabhängig von einer etwaigen Steuerpflicht – mit der steuerlichen Identifikationsnummer nach § 139b AO gelungen. Für Personenvereinigungen und Körperschaften wird ...mehr

Rz. 7 Die WIDNr unterliegt gem. § 139c Abs. 2 AO im Hinblick auf Art und Umfang der Erhebung und Verwendung ähnlichen Restriktionen wie die Identifikationsnummer für natürliche Personen. Auch hier werden den Finanzbehörden weitergehende Befugnisse zur Verwendung der WIDNr eingeräumt als anderen öffentlichen oder nicht öffentlichen Stellen.[1] Aufgrund der höheren Öffentlichke...mehr

Rz. 11 § 139c Abs. 6 AO enthält die verfassungsrechtlich gebotenen Regelungen zur Zweckbestimmung der für wirtschaftlich Tätige gespeicherten Daten. Die Regelung ist der in § 139b Abs. 4 AO für die Identifikationsnummer enthaltenen Regelung nachempfunden, sodass sinngemäß auf die dortigen Ausführungen verwiesen wird.[1] Rz. 12 Mit dem Familienleistungsgesetz[2] wurde der dem ...mehr

mehr

mehr

mehr

Die Datenschutz-Grundverordnung (Art. 22 DSGVO) garantiert jedem Menschen das Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden, die rechtliche Wirkung entfalten oder erheblich beeinträchtigen. Nur drei Ausnahmen sind erlaubt: wenn die Entscheidung für die Vertragserfüllung erforderlich ist, auf einer Rechtsgrundlage beruht oder auf ausdrücklic...mehr

Überblick Der Steuerberater ist gem. seiner Berufsordnung zur Verschwiegenheit verpflichtet. Er erhält von Berufs wegen zwangsläufig sehr viele personenbezogene Daten (nicht nur die seiner Mandanten) und verarbeitet sie in automatisierter Form. Grundsätzlich ist jede Steuerberatungskanzlei zur Bestellung eines Datenschutzbeauftragten verpflichtet, es sei denn, i. d. R. sind ...mehr

Art. 13 und 14 DSGVO regeln die Informationspflichten für die Datenverarbeitungsprozesse, die mit dem Besuch der Website verbunden sind. Da dem Steuerberater i. d. R. die technischen Kenntnisse fehlen, muss er sich individuell beraten lassen, was seine Datenschutzerklärung beinhalten muss. Praxis-Beispiel Facebook, Twitter und Co. Nutzt der Steuerberater keine Social Media Plu...mehr

Der Steuerberater selbst ist, wenn er z. B. die Lohnbuchhaltung für einen Mandanten übernimmt, kein Auftragsdatenverarbeiter, weil der Steuerberater seine Tätigkeit weisungsfrei ausübt und so im Rahmen der Funktionsübertragung handelt. Am 16.1.2018 erschien das Kurzpapier Nr. 13 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) mit d...mehr

Für nicht-öffentliche Stellen gilt das BDSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (§ 1 Abs. 1 Satz 2 BDSG). Der Steuerberater bzw. die Steuerberatungsgesellschaft (alle Rechtsformen) gehört zu d...mehr

Der Steuerberater muss alle Personen (v. a. seine Arbeitnehmer bzw. Mitarbeiter i. S. v. § 62 StBerG), die eine tatsächliche Möglichkeit des Zugangs zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichten und schulen, unabhängig davon, ob sie zu diesem Zugang berechtigt sind (oder ob sie tatsächlich Zugriff nehmen, Art. 32 Abs. 4 DSGVO: s. auch § 5 Abs. 3 BOStB).[...mehr

Der Mandant kann gem. Art. 15 DSGVO Auskunft über die vom Steuerberater verarbeiteten personenbezogenen Daten verlangen, insbesondere über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Ein...mehr

Der Steuerberater als Inhaber der Kanzlei selbst darf sich nach dem Gesetz nicht zum Datenschutzbeauftragten bestellen (Interessenkollision; Art. 38 Abs. 3 DSGVO). Aus Gründen der Gefahr der fehlenden Objektivität darf auch nicht der für die EDV verantwortliche Mitarbeiter Datenschutzbeauftragter werden. Datenschutzbeauftragter kann sowohl ein Mitarbeiter der Steuerberatungska...mehr

Mit der Verordnung (EU) 2024/1689 – dem AI Act – führt Europa das erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz ein. Sein Prinzip ist klar: Je höher das Risiko für Grundrechte oder Sicherheit, desto strenger die Pflichten. Für die Personalarbeit bedeutet das einen Wendepunkt. Nach Anhang III, Abschnitt 4 gilt jedes KI-System als Hochrisiko, das Einfluss...mehr

Die Datenschutzaufsichtsbehörde (Art. 51 ff. DSGVO) sorgt für die Einhaltung der datenschutzrechtlichen Regelungen (§§ 8, 18 ff. BDSG). Es ist Ländersache, welche Stellen die Aufgaben der Aufsichtsbehörden übernehmen. In jedem Bundesland existiert eine Aufsichtsbehörde, welcher die Kontrolle des Datenschutzes im nicht-öffentlichen Bereich obliegt (§§ 19 ff. BDSG).[1] Der Ste...mehr

Der Datenschutzbeauftragte ist der Geschäftsführung unmittelbar unterstellt. Er ist aber in der Wahrnehmung seiner Aufgaben weisungsfrei. Sinn und Zweck des Datenschutzbeauftragten ist es, die Personen, die hinter den Daten stehen, zu schützen. Er ist daher überwiegend beratend tätig, nimmt dem Kanzleiinhaber also nicht dessen Verantwortung ab. Der Datenschutzbeauftragte ist...mehr

Die eigentliche Herausforderung beginnt, wenn die Pflicht erfüllt ist. Governance ist kein Kontrollkästchen, sondern eine Lernarchitektur. Unternehmen, die den AI Act ernst nehmen, verstehen ihn nicht als Regulierung, sondern als Einladung, Verantwortung professionell zu gestalten. Sie verbinden juristische Nachweise mit ethischer Reflexion – und machen daraus ein Qualitätsm...mehr

Ein Steuerberater, der i. d. R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung (Erhebung, Verarbeitung oder Nutzung) personenbezogener Daten beschäftigt, muss dafür sorgen, dass ein Datenschutzbeauftragter (s. Tz. 3) benannt wird (Art. 37 Abs. 4 DSGVO, § 38 Abs. 1 BDSG). Maßgeblich ist die Möglichkeit der Datenverarbeitung, nicht der Umfang der tatsächli...mehr

Art. 37 Abs. 5 DSGVO legt fest, dass zum Beauftragten für den Datenschutz nur benannt werden darf, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Die Anforderungen, die an den Datenschutzbeauftragten zu stellen sind, hängen auch von der Kanzleigröße, der Zahl der Mitarbeiter, dem Umfang und der Art der Datenverarbeitung ab. Grundsätzlich ist ein Mitarbeiter aus ...mehr

Governance endet nicht mit der Einführung eines Systems, vielmehr beginnt sie dort. Der AI Act verlangt, dass der gesamte Lebenszyklus vom Design bis zur Stilllegung jedes Modells dokumentiert wird. Design: Zweck, Trainingsdaten, Verantwortliche und Erklärbarkeitsziele werden festgelegt. Training: Datensätze werden auf Repräsentativität, Rechtmäßigkeit und Bias geprüft. Deploym...mehr

Ein modernes Governance-Modell gliedert sich in drei Ebenen, die ineinandergreifen wie ein Regelkreis: Strategische Ebene: Der Vorstand, der CHRO und ein interdisziplinäres AI Ethics Board definieren Leitlinien, Risikokategorien und Zielsysteme. Sie legen fest, wie viel Risiko eine Organisation eingehen will und welche Prinzipien unverhandelbar sind. Governance beginnt hier a...mehr

Die DSGVO verlangt menschliche Aufsicht, aber ihr eigentlicher Wert liegt tiefer. Der Mensch fungiert als semantischer Filter zwischen mathematischer Wahrscheinlichkeit und organisationaler Bedeutung. Human-in-the-Loop (HITL) ist kein Bremsklotz, sondern ein Rückkopplungsmechanismus. Er bringt Kontext, Empathie und Erfahrung in Entscheidungen ein. Wenn ein Algorithmus eine Em...mehr

Hat es die Steuerberatungskanzlei z. B. unterlassen, einen Datenschutzbeauftragten ordnungsgemäß zu benennen, oder ist dies verspätet bzw. fehlerhaft erfolgt, kann das mit einer Geldbuße bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes geahndet werden (Art. 83 Abs. 4 Satz 1 Buchst. a DSGVO). Gleiches gilt, wenn der Datenschutzbeauftragte seine Aufgaben nicht erfüllt.mehr

Ein gesondertes Beschäftigtendatenschutzgesetz ist trotz einiger Planungen bisher nicht existent. Zum Beschäftigtendatengesetz (BeschDG) liegt seit dem 8.10.2024 ein erster Referentenentwurf vom Bundesministerium für Arbeit und Soziales (BMAS) gemeinsam mit dem Bundesministerium des Innern und für Heimat (BMI) vor. Seit dem 25.5.2018 gilt die EU-Datenschutz-Grundverordnung (...mehr

mehr

Wesentliche Inhalte Bewerbungen erfolgen größtenteils "online" über Job-Portale, E-Mails oder eigens auf den Internetseiten des Unternehmens befindliche Bewerbungsformulare, aber auch noch "klassisch" in Papierform per Post. Dabei werden personenbezogene Daten erfasst und verarbeitet wie Name, Adresse, Wohnort, Alter, E-Mail und Telefonnummer, beruflicher Werdegang inklusive ...mehr

Gemäß Art. 4 Nr. 15 der Datenschutzgrundverordnung (DSGVO) umfassen Gesundheitsdaten "personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen". Diese dürfen nur mit Einwilligung des Patienten oder gesetzlicher Erlaubnis gespeichert werden. Sie dürfen nur dann preisgegeben werden, wenn gesetzliche Vorschriften dem Arzt e...mehr

mehr

Neben dem Impressum ist in den Internetauftritt eine Datenschutzerklärung zu integrieren. Wie das Impressum muss die Datenschutzerklärung mittels Navigationsbutton eindeutig auf jeder Seite der Homepage sicht- und erreichbar sein. Zwar kann sie mit der Impressumseite verbunden sein, der Navigationsbutton muss dann aber entsprechend eindeutig benannt werden: "Impressum/Datens...mehr

Überblick Digitale Technologien und telemedizinische Verfahren sind mittlerweile im Gesundheitswesen weit verbreitet. Auch in der zukunftsorientierten Arbeitsmedizin sind in Ergänzung der bestehenden Betreuungsformen bereits zahlreiche Anwendungsgebiete der Telematik identifiziert. Ziel muss eine sichere Anwendung und eine breite Akzeptanz der Instrumente sein – insbesondere...mehr

Überblick Aufgrund des technischen Fortschritts und dem Einsatz von künstlicher Intelligenz sind die Möglichkeiten der Überwachung von Beschäftigten vielfältig und operativ oft einfach umzusetzen. Gleichzeitig stellen erhöhte Compliance Anforderungen an die IT-Sicherheit Arbeitgeber vor neue Herausforderungen, z. B. im Rahmen der NIS2-Richtlinie, die z. B. die Durchführung v...mehr

Die Einwilligung der Beschäftigten in die Überwachung kann als eigenständige Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten herangezogen werden. Die Einwilligung muss stets frei, spezifisch und unmissverständlich erteilt werden.[1] Im Beschäftigungsverhältnis birgt die Einwilligung bekanntlich stets das Risiko, dass sie aufgrund des Machtverhältnisses zwischen A...mehr

Unter bestimmten Voraussetzungen, etwa wenn die Daten unrechtmäßig verarbeitet wurden, können Beschäftigte die Löschung ihrer Daten verlangen.mehr

Beschäftigte können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.mehr

Beschäftigte können der Verarbeitung ihrer Daten widersprechen, wenn keine zwingenden schutzwürdigen Gründe für die Verarbeitung vorliegen.mehr

Für die Verarbeitung von Beschäftigtendaten im Rahmen von Überwachungsmaßnahmen spielt Art. 6 Abs. 1f DSGVO eine große Rolle und öffnet in der Praxis viele Handlungsspielräume, je nach Risikoappetit der Arbeitgeber. Danach ist die Verarbeitung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht ...mehr

Die Verarbeitung ist zulässig, wenn sie zur Erfüllung eines Vertrags, etwa des Arbeitsvertrags, erforderlich ist. Gleichermaßen erlaubt § 26 Abs. 1 Satz 1 BDSG [1] die Verarbeitung personenbezogener Daten von Beschäftigten unter anderem dann, wenn dies zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Praxis-Tipp Regelung im Arbeitsvertrag Es empfiehlt sich, di...mehr